Más allá de la accidental contratación de un Hacker

Ella fue encontrada  en una reunión internacional donde todas nuestras oficinas de todo el mundo llegaron a la sede de Palo Alto de nuestra empresa. Estábamos allí para ser entrenados en la nueva campaña de marketing en la competitividad y la marca. Ella había viajado desde Alemania, el día anterior, y no decía mucho.

Todos tuvimos nuestros portátiles abiertos, la nueva página web iba a ser una gran parte de la nueva identidad de la marca y cada país tenía que mantener su propio pedazo de localización. Ella escribe constantemente. No era extraño, porque muchos otros escriben notas de la presentación, pero ¿por qué? ella escribió con prontitud  al estar completamente enfocada en  su pantalla. Pero, ella estaba prestando atención a la presentación.

En algún momento, el vicepresidente de marketing global que lideraba este entrenamiento, dijo que este cambio sería una sorpresa en el panorama de la industria y de nuestro principal competidor, que también era una potencia internacional con sede en Silicon Valley, serían atrapados desprevenidos. Fue entonces cuando ella levantó la mano y sin ser llamada adelante, declaró que el competidor ya sabía, "Ellos sabían desde hace al menos cuatro meses."

"¿Cómo sabes eso?", Preguntó el vicepresidente.

"Ellos tienen un nombre de dominio similar en su servidor DNS que fue registrado a escondidas bajo una administración diferente, hace 4 meses casi exactamente."

El VP parecía aturdido.

Luego nos separamos para tomar un café y yo estaba cerca de ella cuando el vicepresidente se acercó a ella. La conversación fue algo como esto:

"¿Los has hackeado a ellos?"

"No. La información se muestra públicamente. Se llama Opensource Intelligence Gathering. Sólo necesita saber cómo buscar ".

"¿Hay algo más?"

"Sí, ellos también están en el re-lanzamiento de su sitio web con características similares a las nuestras."

"¿Dónde?"

"Todavía no es público."

"Si esto no es público ...".

"Ellos usan una caché web a través de su proveedor de Internet, así que básicamente pedí que me envíe lo que tenía de ese dominio y lo hizo."

"Puedo ver esto?"

Ella lo llevó de vuelta a su computadora portátil y le mostró.

"¿Hay más?", Preguntó.

"Eso es todas las páginas que podía obtener de su nueva página web. Pero te puedo decir de la zona horaria en la que están desarrollando es de Reino Unido y esa fue la última actualización de esta mañana ".

"No teníamos ni idea. ¿Puedes decirme lo cerca que viven para investigarlos? "

"Esa es la cosa. Miré el nombre que utilizan para registrar los dominios y es una nueva compañía que fundaron hace unos 6 meses para hacer todo esto delante de tus narices. La dirección es justo al lado de su cuartel general. En los mapas de Google se puede ver que es casi justo encima de ellos ".

El VP se sentó mientras tecleaba rápidamente en una pantalla en negro.

"Aquí he buscado el rango de IP y dirección de correo electrónico, propiedad de la nueva compañía," dijo ella. "Me encontré algunas listas de correo publicadas."

"Para qué?"

"Algunos desarrolladores las tienen sin orden, pero cuando miré los encabezados, vi que están usando un esquema de números para sus equipos internos. Eso se apega a los correos que envían para mostrar de dónde vino. Éste dice msworkstation09 y las otras dos terminan en 74 y 257. Así que sabemos que podrían tener al menos 257 empleados para dar una idea de la magnitud de este esfuerzo ".

"Y fue justo debajo de nuestra nariz."

"Ellos han estado en esto que casi desde el primer día."

"Así que tenemos una fuga", el vicepresidente declaró.

"Tal vez no. Acabo de mirar y que están haciendo los mismos errores tontos. Pueden ver lo que estás haciendo con lo mismo que yo puedo verlos. Así que ellos probablemente sólo te observan".

"Así que estamos en la pantalla? ¿Podemos arreglar eso? "

"Más o menos. Dado que alguna de esta información tiene que ser pública, realmente no se puede proteger. Pero usted puede ocultarlo mucho mejor, así es difícil para ellos recogerla. "

Dio un paso atrás y la miró con curiosidad. "Entonces, ¿cómo acabaste en marketing de todos modos?"

"Necesitaba un trabajo."

Más tarde esa noche, durante la cena, ella nos explicó a nosotros en mayor detalle. Necesitaba un trabajo rápidamente para pagar las facturas después de haber sida reducida su última empresa. Así que ella hackeo su medio en el trabajo con la ingeniería social. Ella explicó que ella investigó varios jefes de departamento de los que se contrata y les miró.

Ella investigó  de sus gustos y disgustos. Ella levantó la vista de sus amigos y familiares. Entonces ella hizo a mano  curriculum que la hacía más como ellos y golpear la mayoría de las palabras clave asociadas con la posición. Estaba claro que ella no mintió acerca de la educación, experiencia laboral, habilidades que ella puso allí.

Ella envió diez hojas de vida de esa manera, directamente al de e-mail de cada gerente y consiguió entrevistas. Dentro de una semana tenía una devolución de llamada desde los diez y seleccionó el que tiene el salario más alto.

Pero ese no era Marketing. Hubo un error en el sistema. Tal vez fue porque el sistema de recursos humanos no podía manejar tantos empleos de la misma persona. Tal vez alguna secretaria se confundió.

Así que debido a un error informático, ella terminó en Marketing. Ella pasó a llevar una unidad de inteligencia competitiva para el departamento de marketing de Alemania y después de un año, una oficina en Palo Alto también. Resultó ser el accidente más afortunado que la compañía podría haber hecho.

Esta es una historia verdadera, razón por la cual los nombres se han omitido. Por lo tanto, debe hacer que te preguntes si su organización es segura contra la inteligencia de fuente abierta (Open-source intelligence). Hazlo con OSSTMM. Es el Open Source Security Testing Methodology Manual, es la lista de comprobación de seguridad y privacidad más completa que existe. Compruebe si hay fugas de privacidad  hacia la Web, redes inalámbricas, redes, personas, edificios, documentos, Gadgets y Móviles.

Las opiniones expresadas en los artículos 'este y otros contribuyentes son únicamente las del autor y no reflejan necesariamente el parecer de Norse Corporation.



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta